Podmienky spracúvania osobných údajov samosprávou podľa novej právnej úpravy Konferencia Asociácie prednostov úradov miestnej samosprávy v SR 15. – 16. marec 2018 Mgr. Kristína Szajkóová, Mgr. Igor Hargaš Úrad na ochranu osobných údajov SR

Legislatívny rámec DO 25. mája 2018 Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov Návrh zákona o ochrane osobných údajov Ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. Vyhláška č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení Vyhláška č. 165/2013 Z. z. o skúške fyzickej osoby na výkon funkcie zodpovednej osoby Osobitné predpisy upravujúce spracúvanie osobných údajov FO OD 25. mája 2018 Nariadenie EP a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) Ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov Vyhlášky: štandardizované ikony certifikácia akreditácia audit ochrany osobných údajov posudzovanie vplyvu na ochranu osobných údajov Osobitné predpisy upravujúce spracúvanie osobných údajov FO

Čl. 2 ods. 2 GDPR ako dôvod nového zákona Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov: v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie; členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ; fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti; príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania. + potreba modernizácie s ohľadom na nové možnosti spracúvania a využívania osobných údajov + splnomocňovacie ustanovenia GDPR – Kapitola IX → § 78 - § 79 + nastavenie procesov „konania“, „certifikácie“, „akreditácie“, „kontroly“ a „úrad“

Návrh zákona – časti zákona I časť: základné ustanovenia (pôsobnosť, predmet ,pojmy) II. časť: všeobecné pravidlá ochrany OÚ FO pri ich spracúvaní III. časť: osobitné pravidlá ochrany OÚ FO pri ich spracúvaní príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania IV. časť: osobitné situácie zákonného spracúvania OÚ V. časť: úrad, konanie, kontrola VI. časť: spoločné, prechodné a záverečné ustanovenia

„Novinky“ Niektoré nové pojmy: log, online identifikátor, pseudonymizácia, porušenie ochrany OÚ... (čl. 4 / § 5) Práva dotknutej osoby - 1 nové právo : právo na prenosnosť (čl. 20 / § 26) Rodné číslo a fotografia resp. kamerové záznamy – „bežný“ OÚ Porušenie ochrany OÚ a jeho oznamovanie (čl. 33 – 34 / § 40 – 41) Posúdenie vplyvu + predchádzajúca konzultácia – nie každý prevádzkovateľ; len ak povedie spracovateľská operácia k vysokému riziku (čl. 35 – 36 / § 42 – 43) Kódexy správania, Certifikát – dobrovoľné, účel – preukázanie súladu (čl. 40 – 43 / § 85 – 89)

„Zmeny“ Zásady spracúvania OÚ – samostatne vyčlenené + jednotlivo popísané (čl. 5 / § 6 – 12) Právne základy (oprávnený záujem - ! Pre OVM nemôže byť právnym základom) (čl. 6 / § 13) Súhlas (druhy, forma, náležitosti) (čl. 7 – 8 / § 14 – 15) Informačná povinnosť prevádzkovateľa – vždy + sprostredkovateľ už nemá informačnú povinnosť (čl. 13 – 14 / § 19 – 20) Práva dotknutej osoby – podrobnejšie upravené; dôraz; vyčlenené a prehľadnejšie (čl. 15 – 22 / § 21 – 28) Bezpečnosť: špecificky navrhnutá a štandardná ochrana OÚ + analýza rizík – každý prevádzkovateľ (čl. 25 + čl. 32 / § 32 + § 39) Poučenia oprávnených osôb → pokyny prevádzkovateľa (1 z bezpečnostných opatrení) (čl. 29 / § 36) Oznamovanie IS, osobitná registrácia IS a evidencia nahradené záznamami o spracovateľských činnostiach (čl. 30 / § 37) ZO – pre OVM povinná; skúšky sa už nebudú vykonávať (čl. 37 – 39 / § 44 – 46) Sprostredkovateľ – náležitosti zmluvy + právneho aktu, povinnosť viesť záznamy o spracovateľských činnostiach; nemá informačnú povinnosť (čl. 28 / § 34)

Zodpovedná osoba Určenie ZO Postavenie ZO Úlohy ZO Zamestnanec / externá osoba (FO alebo PO) Jedna osoba ako ZO – môže mať svoj tím; kto ju má je povinný ju oznámiť úradu + u seba zverejniť kontakt na ňu (web, úradná tabuľa) + určiť ZO ako vedúceho tohto tímu Pre viacero OVM môže byť aj jedna ZO – podmienka: musí byť pre všetky tieto OVM ako aj dotknuté osoby reálne zastihnuteľná a plniť si svoje úlohy Odborné kvality – skúška už nebude ! Určením ZO sa prevádzkovateľ nezbavuje zodpovednosti za bezpečnosť osobných údajov ! Určenie ZO Riadne a včas zapojená do všetkých činností týkajúcich sa ochrany osobných údajov Prevádzkovateľ povinný poskytovať ZO zdroje, umožňovať prístup k OÚ + zabezpečiť udržiavanie jej odborných znalostí nezávislé postavenie – žiadne pokyny, nemožno odvolať / postihovať za výkon jej úloh Priama reportovacia linka na vedenie (starostu/primátora) Povinnosť zachovávať mlčanlivosť Výkon jej úloh nesmie viesť k stretu záujmov (pr: starosta alebo jeho zástupca prípadne tajomník alebo IT technik zabezpečujúci systém by nemohli byť ZO) úrad ako aj DO komunikujú so ZO Postavenie ZO Poskytuje informácie a poradenstvo prevádzkovateľovi/ sprostredkovateľovi/ zamestnancom spracúvajúcim OÚ Monitoruje súlad s GDPR/zákonom a pravidlami prevádzkovateľa/ sprostredkovateľa vrátane rozdelenia úloh, zvyšovania povedomia a odbornej prípravy personálu Spolupracuje s úradom, pre DO je kontaktnou osobou Úlohy ZO

Spoločná zodpovedná osoba Možnosť pre viacero obcí/miest určiť jednu ZO – GDPR ani zákon nevylučujú Podmienky: Vhodné najmä pre malé obce/mestá, ktoré vykonávajú prenesenú pôsobnosť len v malom rozsahu, Schopnosť ZO plniť efektívne svoje úlohy vo vzťahu ku všetkým spolupracujúcim obciam/mestám, Dobrovoľnosť Príklady určenia: ZO okresného/krajského mesta nad obcami/mestami, ktoré patria do jej obvodu, Zmluva uzavretá so ZO – viacero obcí samostatne môže uzavrieť zmluvu s 1 ZO Zmluva uzavretá na účel uskutočnenia konkrétnej úlohy alebo činnosti – jedna obec druhej poskytne svoju ZO Zmluva o zriadení združenia obcí – združenie uzatvára 1 zmluvu s 1 ZO

Porušenie ochrany OÚ a jeho oznamovanie úradu (čl. 33/ § 40) Povinnosť prevádzkovateľa oznámiť úradu vysokorizikové porušenie ochrany Do 72 hodín od kedy sa o tejto skutočnosti dozvedel (ak nepredloží do 72 hod. – pripojiť zdôvodnenie omeškania) Ak sa sprostredkovateľ dozvie – podá oznámenie prevádzkovateľovi bez zbytočného odkladu Náležitosti oznámenia: Povaha porušenia, kategórie a počet DO a záznamov meno/názov a kontaktné údaje ZO pre viac informácií Pravdepodobné následky Prijaté alebo navrhované opatrenia s cieľom zmierniť alebo napraviť potenciálne nepriaznivé dôsledky zdokumentovať každý incident

BOD „0“ Zistím porušenie bezpečnosti Zisťujem, či porušenie bezpečnosti sa dotklo aj spracúvaných OU Mám preukázané, že bola porušená ochrana OU a že porušenie je reálnym rizikom pre práva DO BOD „0“ Čo v danom momente viem nahlásim UOOU, akonáhle sa dozvedám novinky postupne oznamujem UOOU; ak nedodrží max lehotu 72 hod musí zdôvodniť prečo oznamuje neskôr Na základe incidentu je potrebné porušenie ochrany OU zdokumentovať a prijať opatrenia aby sa neopakovalo

Porušenie ochrany OÚ a jeho oznamovanie dotknutým osobám Povinnosť prevádzkovateľa oznámiť DO vysokorizikové porušenie ochrany Bez zbytočného odkladu Náležitosť – jasne a jednoducho sformulovať opis povahy porušenia + aspoň kontaktné údaje ZO + pravdepodobné následky + prijaté/ navrhované opatrenia Oznámenie NIE JE potrebné ak: prevádzkovateľ prijal také opatrenia, na základe ktorých OÚ, ktorých sa porušenie týka sú nečitateľné pre neoprávnené osoby (pr. šifrovanie), prevádzkovateľ prijal také opatrenia, ktorými sa zabezpečí, že je pravdepodobné, že vysoké riziko už nebude mať dôsledky, to vyžaduje neprimerané úsilie (možnosť využiť na informovanie médiá) Ak prevádzkovateľ neoznámil DO → úrad môže nariadiť oznámenie

IV. časť: osobitné situácie zákonného spracúvania OÚ (Kapitola IX GDPR v spojení s § 78 zákona) Nariadenie dalo možnosť členským štátom niektoré situácie si upraviť „na mieru“ jeho právnemu poriadku IV časť návrhu vládneho zákona vzťahuje sa na toho kto ide podľa zákona aj na toho, kto spracúva OÚ podľa nariadenia akademický, literárny alebo umelecký účel informovanie verejnosti masovokomunikačnými prostriedkami Prevádzkovateľ ako zamestnávateľ (dnešný § 12 ods. 3) Spracúvanie RČ Genetické a biometrické údaje a údaje o zdraví na základe osobitného zákona Ochrana práv a právom chránených záujmov mňa ako DO a spracúvanie OÚ o inom OÚ nežijúcich osôb Spracúvanie OÚ popri hlavnom účele na historický, vedecký a štatistický účel

Ďakujeme za pozornosť.